1、计算机网络工程本节以规划设计某院校具有1个校区、用户主机数在3000范围内的校园网络为例,介绍网络的规划设计方法。1.网络基本情况 2.网络建设任务与性能要求现要求组建一个高性能校园网络,能实现网络办公、教务管理、学生在线学习,并能访问因特网。网络要易于扩展和维护、性能和可靠性高、安全性好。要求校园网采用万兆核心、千兆主干、百兆交换到桌面。因特网出口设置1条,采用联通公司1OOMb/s光纤接入。1.设计方案说明 通常是先设计网络拓扑结构,然后再选择网络设备,此处先进行设备选型,再设计网络拓扑结构,以便在拓扑图中标注出设备型号。网络设备选择了H3C厂商的主流设备。对于接入层交换机,由于数量众多,
2、拓扑结构图中就不再画出。2.选择交换机考虑到整个校园网规模较大,用户主机数较多,核心层交换机采用H3C万兆核心的路由交换机S7506,H3C S7500系列交换机是H3C公司面向以业务为核心的企业网络架构而推出的新一代高端多业务路由交换机。根据应用需要,核心层采用2台H3C S7500系列万兆核心交换机,放置在网络中心机房,主要是为了实现骨干网带宽的提升。在校园网中,两台万兆交换机组成双核心互为备份,分别配置电口板、光口板和万兆接口板。核心交换机与汇聚交换机采10GE的带宽相连,进一步满足大型节点高数据量转发的要求。光纤接口不够用时,可使用千兆的电口。使用内网地址的服务器群可使用部分千兆电口。
3、服务器交换机使用H3C的千兆交换机S5100实现网络的千兆接入。H3C S5100系列以太网交换机是H3C公司自主开发的三层全千兆多协议以太网交换产品,是为要求具备高性能、较大端口密度且易于安装的网络环境而设计的智能型可网管交换机。各幢楼的汇聚层交换机采用H3C的S5500 28C-SI,接入层交换机采用H3C的E352和E328。3.选择核心路由器 由于网络用户数较多,网络出口路由器也采用高端的H3C的MSR50-60路由器。路由器的主控板上标配2个10M/100M/1000M以太网Combo口,其中一个端口用于实现与全局防火墙的连接,又通过FIC槽位安装了1个1端口10M/100M以太网电
4、FIC接口模块,用于实现与光电转换器的连接。4.选择防火墙使用一台H3C的F1000作为千兆防火墙设备,保护DMZ区中的服务器群。H3C SecPath F1000-S支持外部攻击防范、内网安全、流量监控、邮件过滤、网页过滤、应用层过滤等功能,能够有效的保证网络的安全。1总体设计原则与设计方法校园网中心机房设置在实验楼的3楼,该幢楼的汇聚层交换机和接入层交换机放在中心机房。其余楼宇的配线间设置在各幢楼的中间楼层,汇聚层交换机和接入层交换机均放置在配线架的机柜中,各楼汇聚层交换机同时采用万兆光纤和千兆光纤连接两台核心交换机,其中万兆光纤为主链路,千兆光纤为备用链路。2网络拓扑结构图 校园网络拓扑
5、结构网络拓扑结构设计出来后,在对交换机和路由器进行配置之前,还应先规划三层设备间的互联接口和接口地址,各幢楼的VLAN划分以及各VLAN使用的IP地址段。1三层设备互联 各幢楼的汇聚层交换机在通过物理线路(光纤或双绞线)与核心层交换机相连后,还必须分别对汇聚层交换机和核心层交换机进行适当的配置,该条链路才能正常工作。三层设备间互联链路的工作方式通常采用路由方式,因此需要分别配置互联接口的IP地址,然后通过配置指定路由来实现链路的正常工作。网络拓扑结构设计出来后,在对交换机和路由器进行配置之前,还应先规划三层设备间的互联接口和接口地址,各幢楼的VLAN划分以及各VLAN使用的IP地址段。1三层设
6、备互联 各幢楼的汇聚层交换机在通过物理线路(光纤或双绞线)与核心层交换机相连后,还必须分别对汇聚层交换机和核心层交换机进行适当的配置,该条链路才能正常工作。三层设备间互联链路的工作方式通常采用路由方式,因此需要分别配置互联接口的IP地址,然后通过配置指定路由来实现链路的正常工作。2规划互联接口地址 三层设备互联的两个接口地址必须在同一个网段,不同的互联链路的接口地址应使用不同网段的地址。接口地址可使用三类私网地址中的任意一类,但原则上接口地址应与用户主机所使用的IP地址区分开来。核心层交换机与各三层设备互联的接口地址规划如下表:核心层交换机与各三层设备互联的接口地址规划校园网网段地址规划根据校
7、园网络所申请到的公网地址,进行地址使用规划。ISP公网地址为221.212.138.146221.212.138.157,子网掩码为255.255.255.240,共12个IP地址。这些IP地址主要用在三个方面,即校园网出口路由器,NAT地址池和服务器地址映射。校园网的出口路由器与ISP互连使用221.212.138.146,子网掩码为255.255.255.240。路由器的NAT转换需要一个NAT地址池,其中221.212.138.155221.212.138.157用做NAT地址池。221.212.138.147221.212.138.154用于为不同的服务器提供地址映射服务。网络规划设计
8、就是为计划建设的网络系统提出一套完整的设想和方案,是对用户单位的需求及其具体情况进行可行性研究与需求分析,结合当代网络技术的发展,明确网络总体方案和网络体系结构的过程。网络规划设计的主要任务是要对网络业务的需求、网络的规模、网络的结构、网络管理需要、网络增长预测、网络安全要求,以及与外部网络的互连等指标,给出尽可能准确的定量或定性分析和估计。科学合理的规划可以用最低的成本建立最佳的网络,达到最高的性能,提供最优的服务等完美效果。网络规划设计应解决以下几个主要问题:1)为什么要建设计算机网络建设计算机网络的目的。2)计算机网络可以解决哪些问题建设计算机网络的目标。3)建设什么样的计算机网络计算机
9、网络方案设计。计算机网络系统技术复杂,涉及面广。为了使设计出来的网络系统更为合理和经济,性能更加良好,在进行网络规划与设计时,应根据建设目标,按照从整体到局部、自上而下进行规划和设计,并遵循以下原则:1开放性标准化原则 2先进性原则 3经济实用性原则4.可靠性原则 5安全性原则 6可扩展性原则 7可维护性原则网络需求分析主要是了解用户目前的现状,现在想要实现什么功能,未来需要什么功能,性能上有何要求以及建设成本效益等分析工作。网络系统所基于的环境对网络建设有着直接影响,环境需求分析就是了解和掌握用户的信息环境基本情况。概括起来说,环境需求分析可包括网络用户数目、节点的地理范围、站点之间的最大距
10、离、用户分布状况、网络规模和子网划分、数据流量和系统布线、技术人员掌握专业知识和工程经验的状况等工作。目标需求分析包括用户目标分析和网络目标分析。用户可能有一些特殊要求,如一些用户希望连接一个特定的资源,而另一些用户则希望连通外部设备等。不同的单位,对建立网络的目标是不同的。但下述几点对各种网络都是相同的。1功能性:网络可以完成用户提出的各项任务和需求,能提供用户到用户、用户到应 用的速度合理、功能可靠的连接。2管理性:为保证网络稳定运行,网络能提供方便的检测和管理功能。3适应性:网络应是可扩展的,应该在不进行大的改动的前提下就可对网络规模和性 能进行提升。网络设计应着眼于未来技术的发展,对新
11、技术的实现不应有所限制网络规模分析即明确网络建设的范围,这是通盘考虑问题的前提。明确网络规模有利于制订适合的方案,选购合适的设备,提高网络的性能价格比。网络规模可分为工作组级(或小型办公室)局域网、部门级局域网、企业级网络和骨干网络四种。确定网络的规模涉及以下内容:1哪些部门需要进入网络。2哪些资源需要上网。3网络用户数量。4采用什么档次的设备。5网络及终端设备的数量。业务需求是企业建网中首要的环节,是进行网络规划与设计的基本依据。业务需求分析的目标是明确企业的业务类型、应用系统软件种类,以及它们对网络功能指标(如带宽、服务质量QoS)的要求。业务需求分析为以下几个方面提供决策依据:1实现或改
12、进的企业网络功能。2需要网络技术的企业应用。3电子邮件服务与Web服务。4与Internet的连接。5数据共享模式。6需要的带宽范围。7网络升级或扩展。网络拓扑结构受企业的地理环境制约,尤其是局域网的拓扑结构,它几乎与建筑物的结构一致。所以,网络拓扑结构的规划要充分考虑企业的地理环境,以利于后期工作的开展,如结构化综合布线工程的设计与实施。网络拓扑结构分析要明确以下指标:1网络的接入点的数量。2网络接入点的分布位置。网络设备间的位置。网络连接的转接点分布位置。5网络中各种连接的距离。6其他结构化综合布线系统中的基本指标。电子商务、家庭办公、远程教育等Internet应用的迅猛发展,使得网络互连
13、成为企业建网一个必不可少的方面。与外部网络的互连涉及:是否与Internet连接,用拨号上网还是租用专线,带宽多少,是否与专用网络连接,以及上网用户授权和计费等方面的内容。网络的扩展性有两层含义:其一是指新的部门能够简单地接入现有网络;其二是指新的应用能够无缝地在现有网络上运行。在规划网络时,不但要分析网络当前的技术指标,还要估计网络未来的增长,以满足新的需求,保证网络的稳定性,保护企业的投资。扩展性分析要明确以下几个方面:1企业需求的新增长点。2网络节点和布线的预留比率。3哪些设备便于网络扩展。4带宽的增长估计。5主机设备的性能。6操作系统平台的性能等指标。如果单位原来己经建有网络,设备需求
14、分析时应先考虑新设备和原有设备的兼容性,或经改造后与之兼容。如果是新建网络,应从可靠性、先进性和实用性等方面配置设备,保证总体目标的实现,同时还要考虑与Internet的连接。网络安全要达到的目标包括:网络访问的控制,信息访问的控制,信息传输的保护,攻击的检测和反应,偶然故障的防备,故障恢复计划的制定,物理安全的保护,以及灾难防备计划等内容。1企业的敏感性数据及其分布情况。2网络用户的安全级别。3可能存在的安全漏洞。4网络设备的安全功能要求。5网络系统软件的安全评估。6应用系统的安全要求。7防火墙技术方案。8安全软件系统的评估。9网络遵循的安全规范和达到的安全级别。网络管理包括两方面:一是人为
15、制定的管理规定和策略,用于规范网管人员操作网络的行为;二是指网络管理员利用网络设备和网管软件提供的功能,对网络进行的操作。通常所指的网管主要是指第二点,它在网络规模较小、结构简单时,能很好地完成网管职能。网络管理的需求分析要回答以下的问题:1是否需要对网络进行远程管理。2谁来负责网络管理。3需要哪些管理功能。4选择哪个供应商的网管软件,是否有详细的评估。5选择哪个供应商的网络设备,其可管理性如何。6怎样跟踪和分析处理网管信息。7如何更新网管策略。在进行上述需求分析后,有必要对工程的成本进行预算,并从经济的角度分析建立一个网络所需要的投资和由此带来的经济效益。这项工作涉及以下三个方面。1成本估算
16、:包括硬件、软件和施工费等。2网络运行、维护费用:网络运行需要管理人员和操作人员,网络维护需要维护人员,这些都需要一定的成本,还需配备必要的配件和消耗品,这也要支付必要的费用。3效益分析:对产生的经济和社会效益进行分析。任何投资都是有风险的,网络建设也不例外,因此应对所要建立的网络中可能出现的风险做出预测。需求分析的任务应该由用户方和设计人员共同完成,二者缺一不可。需求分析完成时应该有一个书面的需求分析报告。网络系统总体方案设计主要是对网络类型与网络规模网络拓扑结构、网络的互连模式、网络冗余、Internet接入方式等进行规划与设计。在网络类型设计时,要根据需求分析全面考虑网络的各种类型。当前
17、大部分局域网均使用交换式以太网方式,而且所有网络操作系统与上层协议均与以太网兼容,所以以太网依然是未来的主流。局域网按照其规模可以分为小型、中型和大型三种。不同规模的网络所需要的设备类型、安全系数都不一样。科学合理的网络拓扑结构是网络稳定可靠运行的基础,也是网络工程实施的前提。不同的拓扑结构采用不同的控制策略,使用不同的网络连接设备。1网络系统分层结构设计 按照分层结构规划网络拓扑时,应遵循以下原则:1)网络中因拓扑结构改变而受影响的区域应被限制到最小程度 2)路由器、交换机及其他网络设备应传输尽量少的信息 通常,网络系统的分层结构包括三个层次:核心层、汇聚层(分布层)和接入层,如下图:网络系
18、统分层结构设计对于由几十台计算机构成的小型网络,因为规模太小了,可以不必采取分层结构设计的方法。1)网络核心层设计 核心层的设计应该注意两点:(1)不要在核心层执行任何网络策略 (2)核心层的所有设备应具有充分的可到达性 2)网络汇聚层设计 3)网络接入层设计 接入层的设计目标包括两个,即将流量馈入网络和控制访问。2.网络拓扑结构的种类 几种比较常用的拓扑结构有星形结构、环形结构、总线型结构、网状结构等。(1)星形结构 星形结构是目前应用最广、实用性最好的一种拓扑结构。主要应用于有线双绞线以太局域网中,基本星形网络结构中,所有服务器和工作站等网络设备都集中连接在同一台交换机上,如下图:星形结构
19、(2)环形拓扑环形结构中各设备是直接通过电缆串接,最后形成一个封闭的环,整个网络发送的信息在环中传递,如图2-4所示。其组网简单,但是传输速度低、可扩展性差。环型拓扑结构的优点是硬件结构简单、投资成本低,缺点是可靠性差、扩展性差。常见的环形网有令牌环网和光纤环网。环形拓扑(3)总线型结构总线型拓扑结构网络中所有设备通过连接器并行连接到一个传输电缆(通常称之为“总线”)上,并在两端加装一个称之为“终接器”的部件。总线型网络所采用的传输介质一般也是同轴电缆,不过现在也有采用光缆作为总线型传输介质的,如ATM网、Cable MODEM所采用的网络等都属于总线型网络结构,如下图:总线型结构(4)树形结
20、构 树状拓扑结构是星型拓扑结构的扩展,是一种多级星型结构。它的各个节点按层次进行连接,信息的交换主要在上下节点间进行,相邻的节点之间一般不进行数据交换或者数据交换量很小。这种多级星形结构自上而下(从核心交换机到汇聚层,再到接入层)是呈三角形分布的,像一棵倒置的树。树的最下端相当于网络中的接入层,树的中间部分相当于网络中的汇聚层,而树的顶端则相当于网络中的核心层。树形拓扑结构除了具有星形结构的所有优点外,还具有扩展性能好、易于网络维护的优点。在实际的大中型企业网络中,通常采用复杂的多级星形结构,可能有三级,甚至四级交换机的级联,还可能有交换机的堆叠,如下图:树形结构 (5)网状结构:网状结构的节
21、点之间的连接是任意的、无规律的。两个节点之间的通信链路可能有多条,可选择合适的路径来传送数据。网状拓扑结构具有容错性能好、易于故障诊断、通信信道容量能够有效保证的优点。3典型网络拓扑结构设计(1)小规模企业网络-Soho级企业网 Soho(Small office home office的简称)级企业对网络的要求不高,网络需求是:需要简单、易管理、高性价比的网络,能够实现企业内资源共享,无纸办公,提供管理应用系统,实现企业办公自动化,能够接入Internet,收发E-mail,共享Internet资源,如下图:Soho级网络拓扑结构图(2)中等规模企业网络网络需求:需要高性能网络,能够实现企业
22、内资源共享,无纸办公,提供管理应用系统,实现企业办公自动化,能够接入Internet,收发E-mail,共享Internet资源。目前,快速以太网能够满足网络数据流量不是很大的中小型局域网的需要。但是,在计算机数量超过数百台或网络数据流量比较大的情况下,应采用千兆以太网技术,以满足对网络主干数据流量的要求,如下图:中等规模企业网络的拓扑园区级企业网 园区级企业网络的需求是:实现企业内资源共享,提供管理应用系统,实现企业办公自动化;接入Internet,共享网络资源网络,企业拥有自己的IP地址和域名,建立企业E-mail系统,在公司主机上建立网站,提供一个对外宣传的信息平台,向外界宣传企业形象、
23、公司各项业务、活动及最新成果等。一个大型局域网(数百台至上千台计算机构成的局域网)可以在逻辑上分以下几个层次:核心层、汇聚层和接入层。园区级企业网络的拓扑图如下图:园区级企业网络的拓扑结构(4)异地解决方案当企业发展到一定规模,企业在外地设有许多分支机构,这时,为加快企业内部的信息流通,企业需要将总部和各分支机构连接起来,这就是常说的“远程企业网”。在异地超大型的园区级网络中,分布在不同地域的园区必须通过广域网交流信息,由于跨地区的广域网专线费用很贵,远程企业网通常使用虚拟拨号专用网(Virtual Private Dialup Netwofks,VPDN)技术。VPDN的特点是:安全性好,不
24、易受攻击;保密性好,可有效防止非法访问;价钱便宜,方便快捷;用户网络建设快,网络管理方便,可以自行生成和管理VPDN用户,组网灵活等。异地解决方案的网络拓扑如下图:异地解决方案的网络拓扑 在做设计之前,明确用户的需求,并考虑如下几个方面的问题:1规模 设计网络互连的第一步是决定它的规模。规模是指需要互连的网络数量。规模决定了拓扑、传输设施甚至路由选择协议的选取 2距离 如果互连的网络之间的距离较远,在它们之间自己建设一条专用线路的费用是非常昂贵的,因此应尽量考虑利用公共传输系统进行互连。3通信容量 通信容量有以下两种度量方法:最大通信容量和平均通信容量。网络能支持的“最大通信容量”即通常说的“
25、峰值”容量。平均通信容量是指在一个工作日内,任意给定工作场点可期望的通信负载。这种通信负有时也指“可以承受的”负载。4延迟 延迟是指两个事件发生之间的时间,是指一个网络将数据分组从源传输到目标所需时间总和。延迟由许多潜在因素引起。(1)传播延迟(2)转发延迟 5费用 网络系统的费用包括初始安装费、维护费。功能强、规模大的网络组件费用高于规模小、功能差的网络。每个于网络传输的维护费用也是很大的开销。目前Internet接入技术主要有:基于传统电信网的有线接入;基于有线电视网(Cable Modem)接入;以太网接入;无线接入技术;光纤接入技术。其中,宽带无线接入技术和光纤接入是未来接入网络技术的
26、两个发展方向。1基于传统电信网的有线接入(1)拔号入网。是一种利用电话线和公用电话网PSTN(Public Switched Telephone Network)接入Internet的技术。拨号接入Internet的速率一般为9.656kbit/s,该接入方式需要异步Modem和电话线,投资少,安装调试容易。早期家庭用户常常采用此方式访问Internet。下图是PC机通过公用电话网PSTN拨号接入Internet的示意图:PSTN Modem拨号接入Internet(2)ADSL接入技术。DSL(数字用户线路,Digital Subscriber Line)是以铜电话线为传输介质的点对点传输技
27、术,它包括HDSL、SDSL、VDSL、ADSL和RADSL等,一般称之为xDSL。它们主要的区别就是体现在信号传输速度和距离的不同以及上行速率和下行速率对称性的不同这两个方面。其中ADSL(非对称数字用户环路,Asymmetrical Digital Subscriber Loop)是最具前景及竞争力的一种。它是利用现有的市话铜线进行数据信号传输的一种技术,5km范围内下行速率在28MB/s之间,上行速率在640KB/s1MB/s之间终端设备主要是一个ADSL调制解调器。ADSL适用于人口密度大,高层建筑多,网络节点密集的地段,具有系统结构简单,使用维护方便,性能价格比高的特点。下图是PC机
28、通过ADSL接入Internet的示意图。PC机ADSL接入Internet对于网络用户数量较大时,可以先将所有计算机组成局域网,再通过路由器/交换机和ADSL Modem接入Internet。它的组网方式如下图:局域网ADSL接入Internet(3)DDN专线接入。数字数据网DDN(Digital Data Network)是利用数字信道传输数据信号的数据传输网,它是随着数据通信业务的发展而迅速发展起来的一种新型网络。DDN接入Internet 帧中继接入。帧中继(Frame Relay)是在OSI的第二层上用简化的方法传送和交换数据单元的一种网络互联技术。它的传输率从19.2KBPS到2
29、MKBPS。帧中继主要运用在企业局域网之间的互联,以及局域网联入INTERNET,它是一种经济、方便、灵活、投资少的一种企业级的网络解决方案。下图是LAN通过帧中继接入Internet的示意图:帧中继接入Internet ATM技术。ATM(Asynchronous Transfer Mode)是异步传输模式,是建立在电路交换和分组交换的基础上的一种新的交换技术,ATM兼有电路交换的可靠性、实时性和分组交换的高效性、灵活性,通常作为高性能局域网骨干和广域网骨干。如下图:ATM接入Internet2基于有线电视网接入技术 CATV(Cable Television)即有线电视网,是由广电部门规划
30、设计的用来传输电视信号的网络,其覆盖面广,用户多。HFC(Hybrid Fiber Coax:混合光纤同轴电缆网),是在CATV网的基础上发展起来的,除可以提供原CATV网提供的业务外,还能提供数据和其他交互型业务。在干线部分用光纤代替同轴电缆作为传输介质。HFC提供双向的宽带传输,传输速率下行最高可达36MB/s,上行最高可达10MB/s。终端设备是一个电缆调制解调器(cable modem),它是利用有线电视网作为接入网的接入设备。下图是PC机和LAN通过Cable Modem接入Internet的示意图:3光纤接入技术光纤接入技术实际就是在接入网中全部或部分采用光纤传输介质,构成光纤用户
31、环路(FITL),或称光纤接入网(OAN),实现用户高性能宽带接入的一种方案,光纤通信网传输速度最快、单根光纤的传输速度可以达到100Mb/s 10Gb/s,而且相当稳定,唯一缺点就是价格较高。光纤接入网(OAN)从技术上可分为有源光网络(AON)和无源光网络(PON)两类。AON又可分为基于SDH 的AON和基于PDH的AON。PON可分为基于ATM的PON(APON)及基于以太网的PON(EPON)。如下图:光纤接入Internet4基于以太网技术的宽带接入技术 以太网接入是指将以太网技术与综合布线相结合,作为公用电信网的接入网,直接向用户提供基于IP的多种业务的传送通道。基于以太网技术的
32、宽带接入网由局端设备和用户端设备组成。在这种接入方式中,传输介质是由光纤和铜芯UTP线两种材料构成的。局端设备一般位于小区内,用户端设备一般位于居民楼内。局端设备提供与IP骨干网的接口,用户端设备提供与用户终端计算机相接的10/100 BASE-T接口。局端设备具有汇聚用户端设备网管信息的功能。FTTx+LAN就是基于以太网技术来建设智能化园区网络的方案。下图为FTTx+LAN接入拓扑结构:FTTx+LAN接入 5无线接入技术 无线接入技术是指在终端用户和交换端局间的接入网,全部或部分采用无线传输方式,为用户提供固定或移动接入服务的技术。作为有线接入网的有效补充,它有系统容量大,话音质量与有线
33、一样,覆盖范围广,系统规划简单,扩容方便,可加密或用CDMA增强保密性等技术特点,可解决边远地区、难于架线地区的信息传输问题,是当前发展最快的接入网之一。无线接入技术分为两种:一种是固定接入方式,如微波、卫星和短波等(可参见1.3.3 有线网与无线网的融合)。另一种是移动接入方式,主要有基于CDMA和GPGS技术的无线网、络。GPGS实际传输速率为60KB/s左右,CDMA为153.6KB/s左右。IP地址规划和分配在整个网络的维护和扩展的难易度中,占了举足轻重的地位,会直接影响到后期维护、升级、运行的效率。1体系化编址体系化其实就是结构化、组织化,根据企业的具体需求和组织结构为原则对整个网络
34、地址进行有条理的规划。一般这个规划的过程是由大局、整体着眼,然后逐级由大到小分割、划分的。从网络总体来说,体系化编制由于相邻或者具有相同服务性质的主机或办公群落都在IP地址上也是连续的,这样在各个区块的边界路由设备上便于进行有效的路由汇总,使整个网络的结构清晰,路由信息明确,也能减小路由器中的路由表。而每个区域的地址与其他的区域地址相对独立,也便于独立的灵活管理。2可持续扩展性 就是在初期规划时为将来的网络拓展考虑,眼光要放得长远一些,在将来很可能增大规模的区块中要留出较大的余地。IP地址最开始是按有类划分的,A、B、C各类标准网段都只能严格按照规定使用地址。但现在发展到了无类阶段,由于可以自
35、由规划子网的大小和实际的主机数,所以使得地址资源分配的更加合理,无形中就增大了网络的可拓展性。虽然在网络初期的一段可能很长的时间里,未合理考虑余量的IP地址规划也能满足需要,但是当一个局部区域出现高增长,或者整体的网络规模不断增大,这时不合理的规划很可能必须重新部署局部甚至整体的IP地址,这在一个中、大型网络中是一项很困难的工作。3按需分配公网IP 相对于私有IP而言,公网IP数量稀缺,所以对公网IP必须按实际需求来分配。如:对外提供服务的服务器群组区域,不仅要够用,还得预留出余量;而员工部门等仅需要浏览Internet等基本需求的区域,可以通过NAT(网络地址转换)来多个节点共享一个或几个公
36、网IP;最后,那些只对内部提供服务,或只限于内部通讯的主机自然不用分配公网IP。公网IP具体的分配,必须根据实际的需求,进行合理的规划。4静态分配与动态分配相结合 动态分配地址由于地址是由DHCP服务器分配的,便于集中化统一管理,可以做到按需分配地址。如果某些设备必须要有固定的地址,可以分配给它们固定的地址;如果没有必要使用固定地址,则可以使用动态分配的方法。但是,由于动态编址的一个最大缺点是外界无法找到某台具体的主机,所以,一般为服务器等提供网络服务的设备分配静态地址,而其他设备则分配给动态地址。另外,由于现在的IPv4网络正在向IPv6过渡,将来很可能出现一段很长的IPv4和IPv6共存的
37、时期,所以现在构建网络时应尽量考虑到对IPv6的兼容性,选择能支持IPv6的设备和系统,以降低升级过渡时的成本。内部网络一般划分为三个区域:对外公共服务器群组(DMZ区域)、内部服务器群组和内客户端区域。1内网客户端区域IP规划 内网客户端区域分配私有IP地址,然后根据其数量和组织规模等因素来选择网段,并决定是否使用DHCP动态IP分配。其中,需要访问 Internet的客户端可以通过NAT技术实现,一般在企业防火墙后面另配置一个NAT设备(可能是代理服务器或路由器等),在其上配置一个NAT池放置适当的公网IP以供内网机访问Internet的需要。还可在其上或其连接的下层三层交换机、路由器等设
38、备上做ACL(访问控制列表),以限制内网机访问Internet的权限。2内网服务器区域IP规划。公网IP也不需要过NAT,而且因其职能应该分配固定的私有IP。其中如果由于整体网络规模较大,内网服务器区与客户端区之间隔着路由器,那当使用DHCP服务器时,还要注意DHCP的过程使用了广播包,而路由器隔绝广播,这需要在路由器上配置DHCP中继代理。3DMZ区域IP规划。DMZ区域放置着对外提供服务的服务器群组,这部分自然是分配固定公网IP。当然,可能由于使用服务器集群等冗余和负载均衡措施,会使IP地址的分配策略稍有不同。合理的地址规划是使连续的地址尽量集中在一个区域内。此外,如果内部网要与Inter
39、net连接,在规划内部网IP地址之前,应到有关部门办理申请Internet的IP地址。网络系统的设备包括服务器、传输设备、交换设备、接入设备、互连设备、安全设备、测试设备和网络布线设备等。各种设备的配置应该根据网络的规模和应用需求合理地进行选择和配置。1服务器的分类(1)按应用层次划分按应用层次方法,服务器可分为:入门级服务器、工作组级服务器、部门级服务器、企业级服务器。(2)按用途划分按照这种划分标准,服务器可以分为通用型服务器和专用型服务器。专用型服务器主要依据服务器的具体应用来划分,即Web、FTP、E-mail、DNS服务器等。2服务器的选购原则(1)适当的处理器架构(2)适宜的可扩展
40、能力(3)适当的服务器架构服务器架构主要是从服务器的机箱结构上来讲的,它分为台式、机架式和刀片式三种台式结构是最传统的服务器架构,台式服务器也称为“塔式服务器”,如下图:机架式架构同我们平常所见到的交换机一样,成盒状,重量也比较轻。刀片式架构则是一种新型的服务器架构,它比机架式架构更小,但它具有非常灵活的扩展性能。目前最适合群集计算和IxP提供互联网服务。(4)新技术的支持服务器也与常见的PC机一样,主板在很大程度上决定了主机的整体性能和所采用的技术水平。而主板性能的决定同样是由相应的芯片组决定的。芯片组可以决定的主要包括支持的处理器类型和主频、总线类型(PCI、PCI-X或PCI-E等)、内
41、存类型和容量、磁盘接口类型和磁盘阵列支持等(5)合适的品牌 以前服务器产品主要是以国外品牌为主,如IBM、HP、Sun(称为国际服务器市场的“三甲”)等,但近几年国内服务器品牌发展迅速,服务器产品的技术水平和性能都得到了极大的提高。如国内有联想、浪潮和曙光(称为国内服务器市场的“三甲”)。1交换机的主要性能指标(1)端口带宽 (2)支持的标准和协议 (3)背板带宽 (4)数据转发方式 (5)MAC地址数 (6)可扩展性能 (7)网管功能2交换机的选购的原则选购交换机选型考虑的方面比较多,应参考交换机的性能参数,还应遵循如下几基本原则:(1)交换机的端口数 (2)交换机的端口类型和带宽 (3)交
42、换机的工作层次 (4)交换机的性能档次 (5)交换机的网管功能 (6)交换机的堆叠功能 (7)交换机的品牌 3.无线AP的选型 在无线AP选型上,主要考虑到所支持的无线局域网技术标准、有效距离,以及其他辅助功能。因为现在的无线网络通常还只是应用于小型网络,所以在无线接入点的选择上相对较为简单,建议与所选择的无线网卡和其他无线网络设备一样的品牌,支持标准上目前来说必须选择支持54Mbps的IEEE 802.11g标准或以上的,如下图:无线AP1路由器的分类按功能将路由器分为核心层(骨干级)路由器、汇聚层(企业级)路由器和接入层(接入级)路由器。路由器(1)骨干级路由器骨干级路由器是实现企业网络互
43、连的关键设备,它数据吞吐量较大,具有高速度和高可靠性。(2)企业级路由器 企业或校园级路由器连接许多终端系统,连接对象较多,但系统相对简单,且数据流量对这类路由器的要求是以尽量便宜的方法实现尽可能多的端点互连,同时还要求能够支持不同的服务质量。(3)接入级路由器 接入级路由器主要应用于连接家庭或ISP内的小型企业客户群体,现在的接入级路由器己经可以文持许多异构和高速端口,并能在各个端口运行多种协议。2路由器的主要性能指标(1)背板带宽。通常指路由器背板容量或总线能力。是处理器或接口卡和数据总线间所 能吞吐的最大数据量。(2)吞吐量。指路由器分组转发能力。(3)丢分组率。指路由器再稳定的持续符合
44、下由于资源缺少在应该转发的数据分组中不 能转发的数据分组所占比例。(4)转发时延。指需转发的数据分组最后一比特进入路由器端口到该数据分组第一比特 出现在端口链路上的时间间隔。(5)路由表容量。指路由器运行中可以容纳的路由数量(6)可靠性。指路由器可用性、无故障工作时间和故障恢复时间等指标。3选择路由器的基本原则(1)路由器性能及冗余、稳定性路由器的路由方式有两种:软件方式和硬件转发。路由器的软件稳定性及硬件冗余性也是必须考虑的因素,一个完全冗余设计的路由器可以大大提高设备运行中的可靠性。(2)路由器的接口类型 核心路由器的接口必须考虑在一个设备中可以同时支持的接口类型,如各种铜芯缆及光纤接口的
45、1OOM/lOOOM以太网、ATM接口和高速POS接口等。(3)路由器配置的端口数量 一般而言,家用路由器的端口数不超过5,但对中小企业来说,几十个端口一般都能满足企业的需求。(4)路由器支持的标准协议及特性是不是支持完全的组播路由协议、是不是支持MPLS、是不是支持冗余路由协议VRRP。此外,在考虑常规IP路由的同时,有些企业还会考虑路由器是否支持IPX、AppleTalk路由等。(5)路由器的可扩展性(6)路由器的安全性 目前许多厂家的路由器可设置访问权限列表,达到控制哪些数据才可以进出路由器,实现防火墙的功能,防止非法用户的入侵。目前国内外有许多路由器生产厂商,如H3C、CISCO、华为
46、、锐捷、神州数码等。通常所说的“防火墙”是指位于网络连接的边界防火墙,它是内、外部网络间的第一道安全关口。它的主要作用就是通过不同的过滤规划或安全防护策略保护内部网络不受外部网络的攻击。但它不能防止病毒的入侵,病毒的入侵是通过病毒防护软件进行的。1软、硬防火墙防火墙有软件防火墙和硬件防火墙两种软件防火墙是安装在计算机平台上的软件产品,它通过在操作系统底层工作来实现网络管理和防御功能的优化,软件防火墙基于主机方式,通常用于保护单台主机。硬件防火墙的硬件和软件都单独进行设计,采用专用的网络芯片处理数据包。同时,采用专门的操作系统平台,从而避免通用操作系统的安全性漏洞。所以硬件防火墙无论在性能方面。
47、2防火墙的类型 目前在市场中的防火墙根据所采用的主要过滤技术可划分为包过滤型防火墙、应用代理型防火墙和状态包过滤型防火墙三种。(1)包过滤型防火墙工作在IP层和TCP层,价格比较便宜,而且性能相当不错,目前在广大中小型企业中应用最广。()应用代理型防火墙的应用代理服务运行于内部网络与外部网络之间的主机上,有非常全面的安全防护技术和措施,应用最广的一种防火墙类型,特别是在一些中型或中型以上网络中。()状态包过滤型防火墙是为了克服包过滤型防火墙明显的安全不足而开发的。这种防火墙就属于混合类型的防火墙,具有包过滤和应用代理两种技术的优势。3LAN端口类型和数量防火墙的接口因具体的应用环境不同,所用的
48、接口类型也不一样。主要表现在内部网络接口类型上,防火墙的LAN端口类型要符合应用环境的网络连接需求。主要的LAN端口类型有以太网、快速以太网、千兆位以太网、ATM等主流网络类型。4品牌知名度国内开发、生产防火墙的品牌主要有:联想、天网、实达、东软、天融信等。这些品牌相对国外著名品牌来说都处于中低档次。当然价格要便宜许多(通常在10万元以下),而且还能提供全中文的使用说明书,方便安装、调试和维护。对于中小型企业来说国产品牌是理想的选择。中兴 UPS 为了确保网络系统在断电的情况下能够继续稳定地工作,必须配备来间断电源(UPS)。UPS(如图2-25所示)的配置方案要根据各种网络设备的功率、要求断
49、电保护的时间长短以及UPS的性能价格进行综合考虑。1UPS选型原则 USP种类离线式在线互动式在现式容量500VA-2KVA1KVA-5KVA1KVA-1000KVA功能基本功能较完善保护功能完善保护功能装换时间10ms4ms0ms输出波形方波正弦波正弦波适用负载PC工作站、终端工作站、网络设备服务器、小型机2一般UPS的选购原则(1)选择知名的品牌现在市场上常见的UPS品牌主要有山特、山顿、APC、飞瑞、HP、中兴等,最好选择这些得到广大用户认可的品牌。(2)选择适当的UPS种类目前主要有离线式、在线式和在线互动式3种UPS电源,虽然从理论上来说在线式最好,但要注意同时它的价格也是最高的。所
50、以在选购时也要根据UPS 的具体应用领域,综合价格因素来选择具体的UPS类型。(3)选择适当的功率容量UPS的价格除了与品牌和种类有密切关系外,还与所提供的功率关系密切,通常当然是功率越大,价格越高。3关键设备UPS的选购原则(1)长供电时间对于关键设备所配置的UPS则要远比一般设备的UPS的供电时间长,一般要在四个小时以上。(2)高可靠性机房中的UPS所连接的都是网络中的关键设备,如服务器、交换机和路由器等,所以对机房UPS的可靠性要求比一般工作站用户的UPS更高。(3)高抗干扰性电源干扰问题是造成因特网设备的“可利用率”下降的重要原因之一。因为电源干扰不仅来源于普通的市电电网,还来源于设计